: Unternehmen ist Datenschutz egal
INTERNET Viele Firmen scheren sich im Netz offenbar nicht um die Datenschutzgesetze, zeigt eine neue Studie. Kein Wunder: Die zuständigen Behörden sind mit der Kontrolle überfordert. Ein Experte attestiert ihnen mangelnde Motivation
■ Am Freitag stellte Bundesarbeitsminister Olaf Scholz (SPD) einen Entwurf für ein Arbeitnehmerdatenschutzgesetz vor.
■ Beschäftigte, deren Daten unzulässig oder unrichtig erhoben oder verwendet wurden, sollen einen Anspruch auf Schadenersatz oder Korrektur haben. Betriebe mit mindestens fünf Mitarbeitern müssen einen Datenschutzbeauftragten bestellen. Fragen des Arbeitgebers nach medizinischen Diagnosen sollen unzulässig sein.
■ CDU-Politiker warfen Scholz ein Wahlkampfmanöver vor. Die Union hatte sich in der vergangen Legislatur gegen ein solches Gesetz gesperrt. (taz)
VON DANIEL SCHULZ
Die meisten Internetanbieter scheren sich nicht um die Datenschutzgesetze. Deren Einhaltung wird auch kaum überwacht. Das ist das Ergebnis einer Studie des Karlsruher Instituts für Technologie und der Universität Regensburg. „In dem von uns festgestellten Umfang sind die Mängel erschreckend“, sagte Klemens Böhm, Leiter der Forschungsgruppe.
Das Forscherteam untersuchte insgesamt 100 Seiten wie beispielsweise Spiegel Online, die Reiseseite Expedia und die Onlinepräsenzen der Versandhäuser Otto und Quelle. Sie wollten vor allem eine Frage beantworten: Inwieweit erfährt der Verbraucher von den Firmen, was sie mit seinen persönlichen Daten tun? Die Antwort fällt ernüchternd aus: „Nur fünf der 100 untersuchten Anbieter halten sich vollständig an die Gesetze“, sagt Böhm.
Beispielsweise geben 31 Anbieter nur sehr grob an, welche Daten von Kunden erhoben werden. Sechs äußern sich dazu gar nicht. Etwa ein Drittel der Unternehmen gibt keinerlei Hinweise darauf, wie lange Daten gespeichert werden.
Laut Gesetz muss der Nutzer zustimmen, wenn der Anbieter die Daten für andere Zwecke als die eigenen weiterverarbeiten will. Und er kann seine Einwilligung später wieder zurückziehen. Doch das ficht viele Unternehmen offenbar nicht an. Zwölf Firmen holen sich die Zustimmung gar nicht erst, 18 weisen nicht auf die Möglichkeit des Widerrufs hin.
Außerdem ist oft nicht transparent, an wen Anbieter ihre Daten weitergeben. 20 der untersuchten Firmen geben das nicht an.
Selbst wenn Nutzer bei Unternehmen explizit nachfragen, bekommen sie oft nicht heraus, was mit ihren Daten geschieht. „35 der Anbieter nehmen die Auskunftspflicht nicht wahr“, sagt Klemens Böhm. Das Datenschutzrecht schreibt zudem vor, dass persönliche Daten auf Wunsch gelöscht werden müssen. Doch auch das beachten 35 Firmen nicht.
Gruselig wird es, wenn die Unternehmen den Forschern begründen sollten, wieso sie gegen die Gesetze handeln. Viele behaupteten, das Löschen von Daten sei technisch unmöglich oder man sei bei ihnen überhaupt nicht registriert.
Zuständig für die Kontrolle der Unternehmen sind in Deutschland die Datenschutzbeauftragten der Länder. „Die müssen endlich personell aufgestockt werden“, sagt Markus Beckedahl von Netzpolitik.org, Deutschlands meistgelesenem Blog für digitale Bürgerrechte, „nur so können sie ihre Kontrollfunktionen erfüllen.“
Tatsächlich ist es derzeit eher unwahrscheinlich, dass die Datenschützer der Länder flächendeckend prüfen können, wo etwas falsch läuft. Im Landesamt für Datenschutz in Schleswig-Holstein beispielsweise sind sechs Mitarbeiter dafür zuständig, die etwa 100.000 Unternehmen im Land zu kontrollieren, viele davon mit Internetpräsenz.
Für die Kontrolle reiner Internetunternehmen ist sogar nur eine halbe Stelle vorgesehen. „Deshalb haben wir ein wahnsinnig großes Vollzugsdefizit“, sagt Landesdatenschützer Thilo Weichert. „Es gibt zu viele Verstöße.“ Das sehen Kritiker allerdings etwas anders: „Die Behörden müssen ja nicht auf einmal alle Betriebe kontrollieren“, sagt Hans Gliss. Er berät Firmen und Wirtschaftsverbände in Datenschutzfragen. „Wenn die Landesdatenschützer mit ein paar Unternehmen anfangen würden, könnten sie damit ein deutliches Zeichen setzen.“ Gliss glaubt, dass „die richtige Motivation fehlt“.
THILO WEICHERT, DATENSCHÜTZER
Doch es gibt noch ein anderes Problem. Viele der gesetzlichen Verstöße könnten nach dem bisherigen Recht gar nicht wirkungsvoll geahndet werden, sagt Weichert: „Wenn ein Anbieter beispielsweise nicht bekannt gibt, wann er Daten weitergibt, dann ist das nicht sanktionsbewehrt.“ Im Klartext: In solchen Fällen sehen die Gesetze keine Bußgelder vor und daher scheren sich die Unternehmen offensichtlich nicht darum.
Abhilfe ist hier wenigstens für den Fall in Sicht, dass ein Unternehmen auf Nachfrage die Auskunft verweigert. Ab dem 1. April 2010 kann in solchen Fällen ein Bußgeld von bis zu 50.000 Euro verhängt werden.
Datenschützer Weichert und Blogger Beckedahl fordern mehr: Klarere Regeln und schärfere Bußgelder könnten viele Unternehmen dazu bringen, mit den Daten ihrer Kunden umsichtiger zu verfahren.
Die Internetbranche tut das nach eigener Ansicht bisher übrigens schon. „Nach unserer Erfahrung ist es im eigenen Interesse der Unternehmen, sich an die Datenschutzbestimmungen zu halten“, sagt Marita Strasser, Sprecherin des Verbands der Internetwirtschaft eco, „das Thema ist den Unternehmen ein sehr wichtiges Anliegen.“
Mehr zum Thema auf taz.de